VPN Gatewayは、断片化されたパケットを送信できますが、パケットの断片を再構築できません。 IPsec-VPNを使用すると、IPsecプロトコルによってパケットが暗号化されるため、パケットサイズが大きくなります。 増加したパケットサイズは、ネットワークの最大伝送単位 (MTU) を超え、パケットの伝送に影響を及ぼす可能性がある。 このトピックでは、MTU値を設定してパケットを期待どおりに送信できるようにする方法について説明します。

原則

考慮事項

このトピックでは、前の図を例として、MTU値の設定方法について説明します。 この例では、データセンターはIPsec-VPN接続を使用して仮想プライベートクラウド (VPC) に接続されています。 クライアントがVPCにアクセスすると、パケットはオンプレミスゲートウェイデバイスで暗号化され、インターネットに送信されます。 パケットは、インターネットアクセスをサポートするネットワークデバイスであるルータ2とルータ3を介してVPNゲートウェイに送信されます。

クライアントからVPNゲートウェイへのパケットの送信中、パケットサイズは次のタイプのMTUによって制限されます。
  • ユーザーMTU

    ユーザMTUは、クライアントとオンプレミスゲートウェイ装置との間の全てのネットワーク装置インターフェースの最小MTUである。 ユーザMTUは、クライアントによって送信されるパケットのサイズを制限する。

    この例では、ユーザMTUは、「1」とマークされたインタフェースの最小MTUである。

  • パブリックインターフェースMTU

    パブリックインターフェイスMTUは、オンプレミスゲートウェイデバイス上のVPNゲートウェイに接続されているパブリックインターフェイスのMTUです。 パブリックインターフェイスMTUは、暗号化パケットのサイズを制限します。

    この例では、公開インターフェースMTUは、「2」とマークされたインターフェースのMTUである。

  • パスMTU

    パスMTUは、インターネットアクセスをサポートするすべてのネットワークデバイスインターフェイスの最小MTUです。 経路MTUは、暗号化されたパケットのサイズを制限する。

    パスMTUについては、インターネットサービスプロバイダー (ISP) に相談できます。 デフォルトでは、イーサネットのパスMTUは1,500バイトです。

    この例では、パスMTUは、「3」とマークされたインタフェースの最小MTUである。

パケットを期待どおりに送信できるようにするには、データセンターでユーザーMTUとパブリックインターフェイスMTUを設定する必要があります。 MTU値が次の条件を満たしていることを確認します。

最大ユーザーMTU = min {パブリックインターフェイスMTU, パスMTU} - 101
説明 101は、パケットが暗号化された後にIPsecプロトコルが占有する最大バイト数です。

例:

例:
上の図に示すように、パスMTUが1,500バイトで、オンプレミスゲートウェイデバイスのパブリックインターフェイスMTUを1,500バイトに設定した場合、次の式を使用して最大ユーザーMTUを計算できます。
Maximum user MTU = min {1,500,1,500} - 101 = 1,500 - 101 = 1,399 bytes

この場合、クライアントからは1,399バイトを超えないサイズのパケットを送信することをお勧めします。 さもなければ、パケットは送信されないかもしれない。

Set the MSS value

IPsec-VPN接続でTCPトラフィックを送信し、セグメント単位でパケットを送信しない場合は、最大セグメントサイズ (MSS) とユーザーMTUが次の条件を満たしていることを確認してください。
MSS = User MTU - IP packet header size (20 bytes) - TCP packet header size (20 bytes)

例えば、パブリックインタフェースMTU及びパスMTUが共に1,500バイトである場合、最大ユーザMTUは1,399バイトである。 パケットがセグメント化されないことを保証するために、MSSは1,359バイトを超えることはできない。